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DISPOSITIF D'ACCES SECURISE A DES APPLICATIONS D'UNE 

CARTE A PUCE 

La presente invention se rapporte a un dispositif 
5 d'acces securise a des applications d'une carte a puce. 

Plus particulierement, 1 • invention concerne un 
dispositif d'acces securise a des applications d'une 
carte a puce faisant intervenir notamment des 
instructions, informant a chaque instant sur les 
10 droits, essentiellement en terme d'acces S la m^mbire 
de la carte a puce, de la composante logicielle ou de 
1 ' intervention materielle qui est executee dans la 
carte a puce. 

Les cartes a puce les plus courantes comprennent un 

15 microprocesseur qui gere une memoire programme. La 
m§moire programme est le plus souvent dedi6e & une 
unique application ou a un ensemble d ' applications 
chargees en meme temps dans la carte a puce. Lorsque 
plusieurs applications sont chargees dans une carte a 

20 puce, elles presentent une relation etroite entre elles 
et sont toutes destinees a un meme type de service. 
Ainsi, par exemple, une carte a puce ne peut pas 
simultanement jouer le role de carte bancaire et le 
role de carte de fidelite pour un quelconque commerce. 

25 Afin de ne plus etre limite a un unique type 

d' application par carte a puce, de nouvelles 
architectures logicielles sont envisagees, Ces 
nouvelles architectures logicielles exploitent le 
developpement de langages de programmation standardises 

3 0 (par exemple, le langage "JAVA") qui resolvent les 
problemes de portabilite. 

La figure 1 est une representation simplifiee d'une 
architecture logicielle des projets de cartes a puce 
qui se developpent actuellement . L ■ architecture 

3 5 representee a la figure 1 comprend notamment une 
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premiere partie 110 qui correspond a la partie dit:e 
systeme de 1 ' architecture logicielle d'une carte S puce 
100, et une deuxieme partie 12 0 qui correspond §l la 
partie dite applicative de 1 ' architecture logicielle de 
5 la carte a puce 100. La partie systeme 110 de la carte 
a puce est essentiellement composee d'une librairie de 
programmes 112 du systeme d • exploitation de la carte a 
puce, d'une interface 114 pour g6rer les interactions 
avec, par exemple, le microprocesseur de la carte a 

10 puce ou bien avec les differentes memoires de la carte 
a puce, et d'un espace de gestion d ' interruptions 
materielles 116* 

La partie applicative 12 0 de 1 ■ architecture 
logicielle est composee de differentes applications : 

15 - une premiere, une deuxieme, et une troisieme 

applications principales, respect ivement 122, 124 et 
126; 

- une premiere, une seconde et une troisieme 
applications supplementaires, respectivement 121, 123 
20 et 125. 

Les applications principales 122, 124 et 126 sont 
ecrites dans un langage de programmation directement 
comprehensible par le processeur de la carte a puce. 

Les applications supplementaires 121, 123 et 125 

25 sont typiquement des applications codees dans un 
langage standardise. Ces applications peuvent etre 
ajoutees a n'importe quel instant, a la partie systdme 
110, dans la partie applicative 120 de 1 • architecture 
logicielle decrite. A la figure l, les applications 

30 supplementaires 121, 123 et 12 5 dependent directement 
de la premiere application principale 122. La premiere 
application principale 122 sert ici d ' interpreteur 
entre les applications supplementaires et le systeme 
d ' exploitation en transformant les codes des 

35 applications supplementaires en un langage machine 




3 

comprehensible par les programmes du systems 
d ' exploitation 112, 

Le dispositif d'acces securise a des applications 
d'une carte a puce selon 1' invention intervient dans 
5 une architecture de ce type* 

L' architecture logicielle qui vient d'etre dScrite 
est plus complexe que celle qui existe actuellement 
dans les cartes a puce en circulation. En effet, 
1 ' architecture decrite suppose que I'on peut ajouter 

10 des applications dans un langage de programmatlon 
standardise, eventuellement apres la mise en 
circulation de la carte a puce. Un niveau satisfaisant 
de securite est par consequent plus complexe a 
atteindre que lorsque une unique application, ou un 

15 groupe d •applications dediees a une unique fonction de 
la carte a puce, eta it chargee une fois pour toutes 
dans la carte a puce def initivement limitee en terme 
d ' applications disponibles. Le risque qu ■ une nouvelle 
application vienne perturber le f onctionnement des 

2 0 precedentes applications est en consequence moins 
eleve* 

La coexistence d ' applications de natures diverses 
dans une m§me carte a puce peut poser un certain nombre 
de problemes : par exemple, une architecture logicielle 
25 comprenant simultanement une application dediee a 
1* evaluation de la fidelite d"un client a une compagnie 
petroliere et une application bancaire classique, doit 
garantir qu ' une clef secrete servant dans 1 ' application 
bancaire ne peut etre lue lors de 1 ' utilisation de 
30 1 ' application associee a la compagnie petroliere. 

La presente invention a pour objet de pallier les 
problemes qui viennent d'etre decrits. 

A cet effet, 1 ' invention propose un dispositif 
permettant de gerer differentes applications 
35 logicielles mises en place eventuellement a differents 
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instants, ou differents evenements materials, d'une 
carte a puce, tout en assurant une grande securite. 
Ainsi le dispositif selon 1 * invention offre la 
possibilite de detecter lorsque 1 ' utilisateur d'une 
5 application tente d ' outre-passer ses droits^ par 
exemple en tentant d'acceder a des donnees qui ne sont 
pas destinees a 1 " application en question. 

Pour atteindre ces objectifs, 1' invention propose 
la raise en place d ' instructions specif iques internes au 

10 microprocesseur de la carte a puce. Ces instructions 
specif iques sont des instructions d*appel (DCALL) et de 
retour (DRETURN) . Ces instructions d'appel et de retour 
sont associees selon 1' invention a des registres 
particuliers qui permettent de s " assurer du caractere 

15 autorise ou non des operations effectuSes par 
1 "application en cours d* execution dans la carte a 
puce. 

L' invention concerne done un dispositif d ' accds a 
des applications d'une carte a puce comprenant un 
20 microprocesseur associe a un systeme d ' exploitation 
fonctionnant avec un jeu d ' instructions , une memoire de 
programmes et une batterie d « applications dans une 
memoire de la carte a puce, caracterise en ce qu'il 
comprend 

25 - un registre du microprocesseur pour memoriser un 

code, sur plusieurs bits de controle, propre a une 
entite raise en jeu, 

- une instruction d'appel et une instruction de 
retour du jeu d ' instructions pour raettre a jour 

3 0 instantanement et automat iquement le registre lors de 
1 ' intervention d'une nouvelle entite, 

- un dispositif de controle pour controler en 
fonction des bits de controle le caractere autorise de 
I'acces a des zones de la memoire de la carte a puce 
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par la nouvelle entite appelee ou intervenant dans la 
carte a puce, 

- une premiere liaison pour transmettre les bits de 
controle du microprocesseur vers le dispositif de 

5 controle. 

Selon une realisation particuliere du dispositif de 
!• invention, chaque nouvelle entite intervenant est 
activee a une adresse prSdefinie d'une memoire de type 
memoire ROM (Read Only Memory dans la litterature 
10 anglaise) de la carte a puce, 

Selon differents modes de realisation de 
1' invention, 1' entite fonctionnant dans la carte a puce 
peut etre une application de la batterie d ' applications 
ou un ev^nement materiel, ou encore le systeme 
15 d 'exploitation associe au microprocesseur de la carte S 
puce. 

Les differents aspects et avantages de 1 ' invention 
apparaltront plus clairement dans la suite de la 
description en reference aux figures qui ne sont 

2 0 donnees qu'a titre indicatif et nullement limitatif de 

1* invention et qui sont a present introduites : 

- la figure 1, deja decrite, est une representation 
simplifiee d'une architecture logicielle des projets de 
cartes a puce qui se developpent actuellement , 

25 - la figure 2 est une representation du principe de 

f onctionnement selon 1' invention lors de 1 ' execution 
d'une application au sein de la carte a puce. 

A la figure 2, un microprocesseur 200 d'une carte a 
puce 100 gere 1' ensemble des operations d'une batterie 

30 d ' applications 210 de la carte a puce 100. 

Un bus bi-directionnel 250 assure I'echange 
d • informations entre le microprocesseur 200 et une 
quelconque application de la batterie d ' applications 
210. Les informations echangees peuvent etre des 

3 5 donnees, des adresses ou des instructions de commande. 
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Un controleur d'acces a la memoire 22 0 echange des 
informations avec le microprocesseur 2 00, notaminent: au 
moyen d'une liaison 23 0 qui vehicule un signal, dit 
signal de contrdle entre le microprocesseur 200 et le 
5 contr61eur d^accSs a la memoire 220, 

Par exemple, quand une entite telle que 
!• application 211 requiert, au moyen du bus bi- 
directionnel 250, 1' intervention d'une autre entity 
telle qu*une application 212, elle transmet une 

10 instruction d'appel DCALL suivie d'une designation de 
1' entite appelSe et d'un parametre permettant de 
determiner la nature de I'appel. Selon 1' invention, un 
registre R est mis a jour lors de tels appels. Un 
certain nombre de bits du registre R prennent alors une 

15 valeur associfee a 1' entite appelee. Le registre R est 
done un moyen materiel du microprocesseur 200 qui sert 
mSmoriser un code propre a 1' entity de 1 'architecture 
logicielle qui est en train de s'executer^ et a 
contr61er son domaine d' execution. 

2 0 De plus, le dispositif selon 1' invention peut 

egalement prendre en compte des instructions dites 
mat^rielles, par exemple du type re-initialisation. Les 
instructions dites mater ielles sont des evSnements qui 
peuvent survenir en temps reel sur une carte a puce et 

2 5 qui generent des interruptions dans les 

microprocesseurs de ces cartes a puce. Ce type 
d'evenement est gere par le dispositif selon 
1» invention de la meme fa9on que les instructions 
logicielles : les bits du registre R prennent une 

3 0 valeur bien precise, appropriee a chaque evenement en 

temps reel intervenant sur les cartes a puce, limitant 
et controlant ainsi les droits de ces evenements. 

L» information fournie par le registre R est ainsi 
susceptible de controler une information, par exemple 
35 au microprocesseur ou a toute autre entite exterieure a 
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1 •architecture logicielle, relative h 1 * identification 
de la zone de 1 ' architecture logicielle concernee par 
1 • application en cours d "execution , 

L' information fournie par le registre R permet de 
controler la zone de la memoire de la carte a puce dans 
laquelle 1 'application a le droit d « intervenir, c'est- 
a-dire l»espace memoire auquel elle peut acceder. 
Ainsi, un fiventuel utilisateur qui tente d'utiliser de 
fa^on frauduleuse le systeme d • exploitation afin de 
recup§rer des donnees d'une application particuliere, 
se voit refuser I'acces a ces donnees. En effet, les 
bits du registre d'etat sont, dans ce cas, diffSrents 
des bits qui correspondraient a un appel DCALL de 
1 'application particuliere en question. Une 
confrontation entre les adresses auxquelles on tente 
d'acceder et les bits du registre R, communiques par le 
microprocesseur au moyen de la liaison 23 0, est 
realisee dans le controleur d'acces a la memoire 22 0, 
Dans le cas oCk les adresses de la memoire auxquelles on 
tente d'acceder ne sont pas des adresses appartenant au 
domaine autorise de la derniere application ayant 
effectue un appel de type DCALL, une information 
d'acces illegal interdit I'acces a ces m^moires. 

Le dispositif selon 1' invention off re ainsi une 
grande s§curit§ dans le sens oCl des donnees qui sont 
destinees a une application ne peuvent pas Stre 
exploitees par une autre application. 

Un second registre CS permet de garder en mSmoire 
un code propre aux applications qui eta lent actives au 
moment de la derniere instruction d' appel IX:ALiL §mise 
par 1 ' application courante, c'est-a-dire celles qui 
sont a executer a la suite de 1 * application courante. 

Lorsque 1 ' application courante a fini de 
s' executer, une instruction de retour DRET est executee 
par le microprocesseur, et les donnees contenues dans 



le second registre CS permettent de retourner a 
1 • application qui s'executait precedemment et qui avait 
§t§ act:iv§e par un appel DCALL . Le registre R est 
egalement mis a jour. 
5 Le second registre CS ne peut etre directement 

accgdS par les applications de la carte a puce afin de 
garantir I'integrite du dispositif lors de sa mise en 
oeuvre lors de 1* execution d'une instruction de retour 
DRET. 

10 Lorsque 1 • application courante a fini de 

s'exScuter, les bits du registre R prennent une valeur 
specif ique a 1 ' application qui s'executait 
prScedeniiment , lui restituant ainsi ses droits et ses 
limitations en terme d'acces memoire. 

15 Le dispositif d'acces a des zones memoire, selon 

1* invention, permet d' assurer une grande security en 
terme d'acces aux differentes zones de la mSmoire, pour 
une architecture logicielle telle que celle presentee a 
la figure 1. 
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REVENDICATIONS 

1. Dispositif d'acces a des applications d'une 
5 carte a puce (100) comprenant un microprocesseur (200) 

associe a un systeme d ' exploitation fonctionnant avec 
un jeu d ' instructions, une memoire de programmes et une 
batterie d ' applications (210) dans une memoire de la 
carte a puce, caracterise en ce qu'il comprend 

10 - un registre (R) du microprocesseur pour memoriser 

un code, sur' plusieurs bits de controle, propre a une 
entite mise en jeu, 

" une instruction d'appel (DCALL) et une 
instruction de retour (DRET) du jeu d ' instructions pour 

15 mettre a jour instantanement et automatiquement le 
registre (R) lors de 1 • intervention d'une nouvelle 
entit§, 

- un dispositif de controle (220) pour controler en 
fonction des bits de controle le caractere autorisS de 

20 I'acces a des zones de la memoire de la carte a puce 
par la nouvelle entite appelee ou intervenant dans la 
carte a puce, 

- une premiere liaison (230) pour transmettre les 
bits de controle du microprocesseur (200) vers le 

25 dispositif de controle (220) . 

2. Dispositif d'acces a des applications d*une 
carte a puce selon la revendication 1, caracterise en 
ce qu'il comprend un second registre (CS) pour 
memoriser un code propre aux applications actives au 

30 moment de la derniere instruction d'appel (DCALL) 
emise . 

3. Dispositif d'acces a des applications d'une 
carte a puce selon I'une des revendications 1 ou 2 , 
caracterise en ce que 1' entite appelee ou intervenant 
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dans la carte a puce est une application (211) de la 
batterie d ' applications . 

4. Dispositif selon I'une des revendications 1 ou 
2, caracterise en ce que I'entite est un eveneitient 
5 materiel. 



100 

) 123^ 125 



1/1 

FIGJ 



120 



Appli:4 



App(i:5 



App(i:6 



124 



126 



Appli: 1 



Appli:2 



Appli: 3 



OS Lib. 


Interruption 


, Interface ) 



114 



116 



FIG_2 



100 






r 

i 



